Millones de usuarios caen en la trampa de iniciar sesión con Facebook para acceder a otros sitios, para utilizar aplicaciones, para registrarse en servicios diversos, o para entrar a distintos lugares conectados en línea. Sin saberlo, una enorme cantidad de información confidencial queda a merced de piratas informáticos que pueden usarla –y la utilizan– en su contra.
Sobre el final de septiembre de 2018, Facebook anunció que al menos 50 millones de usuarios –y es seguro que muchas decenas de millones más– de la red social más grande del mundo habían sido infiltrados por hackers aún no identificados a través de una brecha en la seguridad de sus protocolos de acceso.
El agujero –para no llamarlo “la grieta”, por razones de copyright– no sólo permitie a los atacantes ingresar a las cuentas de Facebook de los afectados, sino también a todas las demás a las que acceden a través de Facebook para iniciar sesión.
Mercado Libre, Instagram, Spotify, Airbnb, Tinder, Pinterest, The New York Times y más de 100.000 sitios de todo el mundo que permiten el ingreso (login) de los usuarios con su cuenta de Facebook fueron “contagiados” de golpe por los piratas que roban toda la información asociada.
Si bien Facebook dice que no tiene ninguna evidencia de que los atacantes entraran a otros sitios a través de un hueco de su función de inicio de sesión, el argumento es tan confiable como la inviolabilidad de la seguridad de los datos recolectados por el equipo de Zuckerberg.
Si vas a iniciar sesión con Facebook, desinstalá Facebook
Suena fácil, aunque no es para nada simple: un usuario puede dar de baja su cuenta, pero Facebook la mantiene activa “por si se arrepiente” y en la eventualidad de que vuelva a ingresar, anula inmediatamente la baja.
Aunque el usuario no vuelva, toda la información permanece en los servidores de manera indefinida; peor todavía: queda una copia de todos los contenidos que el usuario haya eliminado a lo largo de su historia en la red.
Ni Facebook, ni los sitios subsidiarios de Facebook, ni los de terceros, parecen conocer el alcance exacto del daño sufrido por la perforación de su escudo de blindaje.
El vicepresidente de administración de productos de Facebook, Guy Rosen, dijo que la compañía de la F azul no tiene evidencias de que los piratas hayan atacaron a otros sitios a través del hackeo de las cuentas de sus usuarios.
Pero a renglón seguido aseguró que la red social está creando formas de seguimiento más sofisticadas para que los sitios eventualmente perjudicados realicen sus propias investigaciones.
“La mera posibilidad de la infiltración es un antecedente por el cual Facebook debería ser inhabilitada para actuar como servicio de inicio de sesión a cualquier cosa.
Ya la mera posibilidad de la infiltración es un antecedente preocupante, y si el truco permite la acometida a cualquier otro sitio, Facebook debería ser inhabilitada para actuar como servicio de inicio de sesión a cualquier cosa.
Esta situación es, por decirlo así, clásica: la trampa de iniciar sesión con Facebook ahorra una gran cantidad de trabajo y reduce los pasos que debe dar el usuario.
Facebook ofrece sus servicios de ama de llaves de confianza que tiene el manojo con el cual abrir cada cerradura en línea por nosotros sin pedirnos nada a cambio.
El arreglo parece tentador y conveniente: el ama de llaves está siempre estaba allí, con apenas presionar el botón azul, en lugar de crear, guardar en un lugar seguro, y recordar decenas de contraseñas para diferentes sitios.
Se espera que Facebook tenga un incentivo financiero y un compromiso de reputación para contratar a los mejores expertos en seguridad como garantía de protección de las claves de los usuarios, pero la extensiva violación producida vaporiza por completo esos argumentos.
El incesante vendaval de denuncias que llueve sobre la compañía de Mark Zuckerberg desde hace al menos un lustro parece demostrar que están más concentrados en hacer dinero con los contenidos privados y públicos de los usuarios que en invertir en seguridad.
Con las claves a otra parte
Si la entidad en la que cientos –miles– de millones de usuarios depositaron sus claves las pierde, lo más sensato es llevárselas a quien pueda garantizar protección plena.
La mejor manera es utilizar un administrador de contraseñas dedicado, un servicio como LastPass o 1Password, que crea y recuerda contraseñas seguras para diferentes sitios.
“Si se prefiere evitar un administrador de contraseñas, puede usarse el servicio de inicio de sesión de otro gigante tecnológico menos vulnerable como Google o Microsoft.
Los sistemas operativos y los navegadores también administran contraseñas y nombres de usuario fuera del alcance de los piratas.
Los iPhones más modernos, y muchas aplicaciones de otros entornos, permiten desbloquear accesos a través del reconocimiento facial, lo cual es tan simple pero mucho más conveniente que presionar el botón de autorización de Facebook.
Si por alguna razón se prefiere evitar un administrador de contraseñas, puede usarse el servicio de inicio de sesión de otro gigante tecnológico menos vulnerable como Google o Microsoft, en lugar de Facebook.
Claro que es verosímil que esas compañías también puedan sufrir violaciones de seguridad algún día: Yahoo, al igual que LinkedIn, o Equifax sucumbieron a los ataques de los filibusteros digitales.
Pero en este momento particular de la vida en Internet y la profusión de dispositivos móviles a escala global, un servicio de inicio de sesión de Google o Microsoft tiene una apreciable ventaja: esas empresas no perdieron el control de las cuentas de 50 millones de personas. Facebook sí.
La trampa de iniciar sesión con Facebook es Facebook
Ante todo, el tamaño y la complejidad de Facebook van en contra de su seguridad. El hackeo parece haber sido causado por errores diferentes y sinérgicos:
“Un administrador de contraseñas dedicado tiene un trabajo único y específico que minimiza las posibilidades de que algo salga mal.
- La base de código de programación de estos servicios es masiva, hay diferentes equipos que trabajan en componentes individuales, y pueden interactuar de maneras disociadas: cualquier filtración inesperada puede colarse donde menos se sospeche.
- Otro peligro de iniciar sesión con Facebook es la amenaza de lo que se conoce como phishing, un tipo de fraude consistente en la suplantación de identidad, algo que sucede todo el tiempo a través de engaños en línea: quienquiera que piratee una cuenta de Facebook obtiene acceso a todo lo demás que se haya vinculado con Facebook.
Ninguna empresa, ni siquiera una tan grande y poderosa como Facebook –y menos todavía Facebook– puede garantizar una seguridad perfecta.
¿Por qué un administrador de contraseñas es una mejor manera de protegerse que iniciar sesión a través de una gran plataforma?
En comparación con las prestadoras masivas, que tienen millones de diferentes líneas de códigos y funcionalidades diferentes que son cambiadas permanentemente, un administrador de contraseñas dedicado tiene un trabajo único y específico que minimiza las posibilidades de que algo salga mal.
Facebook no es sólo Facebook con sus 2.200 millones de usuarios de marzo de 2018: es Instagram (2012) con casi 1.000 millones de usuarios, es WhatsApp (2014) con casi 1.500 millones de usuario, es Messenger (2011) con 1.300 millones de usuarios, todo en una sola compañía.
Ignorar al soberano para seducir al ignorante
El gigante de Zuckerberg se vale de un razonamiento plausible para que caigamos en la trampa de iniciar sesión con Facebook: hacerlo suele ser considerablemente más seguro, en general, que las débiles contraseñas que las personas sin experiencia en cifrado crean y utilizan para todo.
Nombres propios, fechas previsibles, palabras de uso común, secuencias numéricas en escalera o con cifras que se reiteran, son atajos que la memoria prefiere antes que tener que recordar cadenas alfanuméricas irreconocibles.
“Tengan cuidado con lo que suben a Facebook.
-Barack Obama, ex presidente de EE.UU., al asumir su primer mandato.
El uso mismo de contraseñas (como también lo es el de captchas) es contraintuitivo y agotador, es decir, inhumano.
Todo esto es cierto, aunque también lo es que, sin la presión suficiente, Facebook descansará como lo hacen los bancos argentinos con la seguridad interna, en la indolencia de que si no hay ningún costo que deba pagarse, ¿para qué tomarse la molestia de prevenir los robos?
Cada vez que aparece el botón azul de Facebook como opción para registrarse o acceder a un servicio digital, deberíamos abstenemos de oprimirlo; quizás así la red social comience a repensar hacia dónde canalizar sus recursos, que son muchos.
Cuando cualquier persona abre o actualiza una cuenta en Facebook, implícitamente acepta términos leoninos incluidos en la letra chica de su declaración de Política de Privacidad:
“Usted le otorga a Facebook el derecho irrevocable, perpetuo, no exclusivo, transferible y mundial (con la autorización de acordar una licencia secundaria) de utilizar, copiar, publicar, difundir, almacenar, ejecutar, transmitir, escanear, modificar, editar, traducir, adaptar, redistribuir cualquier contenido depositado en el portal.”
Dicho en palabras simples: Facebook –y cualquier tercero que lo negocie con la red social– puede hacer lo que quiera (lo que incluye vender, crear contenidos falsos o adulterados o realizar acciones ilegales) con todos y cada uno de los contenidos que uno coloca en su cuenta o en las cuentas de sus amigos, sin solicitar permiso, sin avisar y sin otorgar reciprocidad, respetar ni cumplir ningún tipo de condiciones.
El alcance de este abuso es impredecible y se extiende más allá de la vida del usuario porque, en caso de muerte, Facebook mantiene la cuenta, en palabras de la compañía: “activa bajo un estado memorial especial por un período determinado por nosotros para permitir a otros usuarios publicar y ver comentarios”.
La Responsabilidad Social Empresaria (RSE) obliga a Veronese Producciones · Publicidad Integral a llamar la atención de la comunidad también sobre este tipo de riesgos, y prevenir acerca de la difusión de prácticas que conllevan peligros implícitos para los derechos, la privacidad y la seguridad de personas y organizaciones.